# vi /etc/sysctl.conf

# SYN Cookiesを有効にする
# ※TCP SYN Flood攻撃対策
net.ipv4.tcp_syncookies=1

# ブロードキャストアドレス宛pingには応答しない
# ※Smurf攻撃対策
net.ipv4.icmp_echo_ignore_broadcasts=1

# IPアドレスのなしすまし対策
net.ipv4.conf.defaukt.rp_filter = 1

#偽のエラーレスポンス無視
net.ipv4.icmp_ignore_bogus_error_responses = 1

# vi /etc/sysconfig/iptables

# filterテーブルの設定
*filter

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT – [0:0]　#チェーン定義

#INPUTパケットのチェックにRH-Firewall-1-INPUTチェインを適用→　DROP（破棄）へ変更
-A INPUT -j RH-Firewall-1-INPUT

#FORWARDパケットのチェックにRH-Firewall-1-INPUTチェインを適用→　DROP（破棄）へ変更
-A FORWARD -j RH-Firewall-1-INPUT

# 自ホストからのアクセスをすべて許可
-A RH-Firewall-1-INPUT -i lo -j ACCEPT

# eth1（LAN側）はをすべて許可
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT

# 内部から行ったアクセスに対する外部からの返答アクセスを許可
-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

# 113番ポート(IDENT)へのアクセスには拒否応答
# ※メールサーバ等のレスポンス低下防止
-A RH-Firewall-1-INPUT -p tcp –dport 113 -j REJECT –reject-with tcp-reset

# SSHサーバ
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT

#Webサーバー接続を許可
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 80 -j ACCEPT

### メールサーバ接続を許可
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 25 -j ACCEPT
-A RH-Firewall-1-INPUTT -p tcp -m state –state NEW -m tcp –dport 465 -j ACCEPT

COMMIT

# /etc/init.d/iptables restart

# /etc/init.d/iptables save